Блог

При отправке на GitHub я получил это сообщение:

GitHub обнаружил 1 уязвимость в ветке username / projectname по умолчанию (1 умеренная).

Я проверил проект на Github и обнаружил, что мне нужно обновить Sequelize до версии 5.3.0. Локально я запустил npm update и обновил еще один из моих пакетов, но Sequelize не обновлялся.

Я зафиксировал, затем снова нажал на Github и получил то же предупреждение об уязвимости. Я проверил package.json , и в разделе зависимости отображается следующее:

 "sequelize": "^4.43.1"
 

Есть ли что-то другое, что мне нужно сделать, чтобы обновить Sequelize? Или, по крайней мере, для устранения этого предупреждения?

npm update соблюдает ограничения зависимостей каретки в package.json . Вы запрашиваете версию "^4.43.1" , что означает последнюю версию, доступную без обновления самой левой ненулевой цифры. Последняя 4.x.y версия sequelize is 4.43.1 .

Обновите его основную версию package.json , например, до ^5.3.0 , поскольку вы знаете, что вам нужно, затем запустите npm update снова. Это должно дать вам последнюю версию с основной версией 5 ( 5.3.5 на момент написания). Он также обновит как ваш package.json , так и ваш package-lock.json .